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Anordnung und Verfahren zur Generierung eines Sicherheitsabdruckes 



Beschreibung 

Die Erfindung betrifft eine Anordnung zur Generierung eines Sicherheits- 
abdruckes mit einem Sicherheitsmodul. gemafi der im Oberbegriff des 
Anspruchs 1 angegebenen Art und fur ein Verfahren zur Generierung 
eines Sicherheitsabdruckes, gemaB der im Oberbegriff des Anspruchs 12 
angegebenen Art. Ein postalischer Sicherheitsmodul ist ein Teil einer 
Anordnung, die sich insbesondere fur den Einsatz in einer 
Frankiermaschine bzw. Postbearbeitungsmaschine Oder Computer mit 
Postbearbeitungsfunktion eignet. Das Verfahren dient der Sicherung vor 
einer Manipulation mit nichtbezahlten Frankierungen auf Postgutern. 

In EP 862 143 A2 wurde eine Frankiermaschine fur die Erzeugung und 
Uberprufung eines Sicherheitsabdruckes vorgeschlagen. Ein Sicherheits- 
abdruck weist eine maschinenlesbare Markierung mit variablen Daten und 
einen Krypto- bzw. Authentisierungscode auf. 

Zur Uberprufung des Sicherheitsabdruckes wird ein aus den variablen 
Daten gebildeter Kryto- bzw. Authentisierungscode mit dem aufgedruck- 
ten Kryto- bzw. Authentisierungscode verglichen. Die Frankiermaschine 
hat einen einzigen Mikroprozessor, der sowohl einen Krytocode bzw. 
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einen DAC (DATA AUTHENTICATION CODE) zur Absicherung der 
Druckdaten, als auch das Dnjckbild selbst berechnet. Letzteres besteht 
aus festen Rahmenpixeldaten und den Fensterpixeldaten. Fensterpixel- 
daten sind variable und semivariable Druckdaten. 

Dabei wurde vorgeschlagen, urn die Rechenzeit optimal auszunutzen, die 
Druckdaten fur den Krytocode bzw. einen DAC und diejenigen variablen 
Daten, die sich relativ haufig andern, erst kurz vor dem Drucken in das 
berechnete Druckbild einzufugen. Bei Frankiermaschinen mit spalten- 
weisen Druck auf ein bewegtes Postgut, wobei die Druckzeile im Druck- 
kopf orthogonal zur Transportrichtung des Briefes angeordnet ist, kann 
sich eine Moglichkeit ergeben, die vorgenannten variablen Daten direkt in 
das Druckregister der Drucksteuerung fur den Druckkopf zu ubertragen, 
wobei die Ubertragung sequentiell mit den Rahmenpixeldaten erfolgt. 
Damit wird eine Moglichkeit geschaffen, erst spat fertigberechnete DAC- 
Druckdaten auch noch nachtraglich wahrend des Druckens einzubetten. 
Beispielsweise bei der Frankiermaschine T1000 der Anmelderin, welche 
nach einem Thermo-transferdruckverfahren arbeitet, ergibt sich bei 
Lauflangencodierung der Druckdaten, eine solche Moglichkeit unter der 
Voraussetzung, dafi bereits einige der festen Rahmenpixeldaten und der 
zuvor eingebetteten Fensterpixeldaten bereits gedruckt werden, so dafi 
die DAC-Druckdaten erst spat eingebettet konnen, weil das entsprechen- 
de Fenster erst spater gedruckt werden muli. Wenn jedoch seitens eines 
Postbeforderers die Forderung besteht, das betreffende Fenster zuerst zu 
drucken, rnufl die Einbettung der Druckdaten im Vorab erfolgen. Wenn die 
Anderungen sich Ciber mehrere Druckspalten erstrecken, wobei mehr als 
die Halfte der Druckspalten des gesamten Druckbildes verandert werden 
mussen, resultiert daraus eine entsprechende Verlangerung der 
Rechenzeit. Dann ist aber vor jedem Frankierbildausdrucken eine Neu- 
berechnung des Druckbildes mit anderen variablen Fensterdaten und mit 
neuen DAC-Druckdaten notig. Der Durchsatz beim Frankieren wird bei 
solchen Druckbildern fur einen Sicherheitsabdruck deutlich verringert. 

Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und eine 
Anordnung zu entwickeln, urn den Durchsatz an Post beim Frankieren mit 
einem Sicherheitsabdruck zu erhohen. 

Bei Frankiermaschinen mit hohem Durchsatz (Systemtakt) ist eine Tech- 
nik zu entwickeln, bei der nach jeder erfolgreichen Abrechnung der Fran- 
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kierabdruck durch einen Sicherheitscode signiert wird. Hierbei mufi die 
Signatur schnell genug errechnet werden, um sie abhangig vom System- 
takt der Frankiermaschine schnell genug fur die Druckbildberechnung zur 
Verfiigung zu stellen. Auch wenn die Anderungen in den Druckdaten von 
Abdruck zu Abdruck maximal sind, soli dadurch der Durchsatz nicht 
verringert werden, dad ein Sicherheitsabdruck gedruckt wird. 

Die Aufgabe wird mit den Merkmalen des Anspruchs 1 fur eine Anordnung 
und mit den Merkmalen des Anspruchs 12 fur ein Verfahren gelost. 

Eine Losung des Problems wurde in der Durchfuhrung von zwei zeitlich 
versetzten Berechnungen durch unterschiedliche Rechner gefunden. Die 
Berechnung des Sicherheitscodes wird erfindungsgemali von einem 
seperaten Sicherheitsmodul vorgenommen, wahrend die Druckbilddaten- 
aufbereitung vom Frankiermaschinen-Prozessor vorgenommen wird. 
Durch geschicktes Verschachteln der beiden Aufgaben und spezielle 
Auswahl von Algorithmen und Datenstrukturen wird eine hohe System- 
taktleistung erzielt. 

Das Sicherheitsmodul wird so implementiert, dafi alle fur den 
Sicherheitscode DAC benotigten Systemdaten uber Nachrichten von der 
Frankiermaschine voreingestellt werden. Jede Nachricht, die solche 
Systemdaten verandert, startet sofort, sofern die neuen Systemdaten 
vom Sicherheitsmodul als gultig erkannt werden, eine Neuberechnung 
des Sicherheitscodes. Eine uber eine separate Nachricht an das 
Sicherheitsmodul gemeldete Aufforderung zur Abrechnung startet die 
Abrechnung. Das Sicherheitsmodul sendet den Sicherheitscode an die 
Frankiermaschine FM, wobei letztere die Druckdatenaufbereitung und 
Berechnung des Druckbildet vornimmt. Fur Massenfrankierungen mit 
hohem Systemtakt ergibt sich folgende zeitliche Verschachtelung der 
Operationen beider Datenverarbeitungseinheiten, die zu einer hohen 
Systemleistung fuhrt. Die zeitliche Verschachtelung lafit sich nur durch 
folgende zwei Mallnahmen ermoglichen: 

1 . Zwei Verarbeitungseinheiten (FM / FPSM) 

2. Vorberechnung des Sicherheitscodes aufgrund voreingestellter Werte 
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Das Verfahren findet beispielsweise in Frankiermaschinen Anwendung, 
fur die besondere Sicherheitsfordeaingen bezuglich der Postregisterdaten 
und des Abdruckes gelten, da insbesondere die geldwerten Abrechnungs- 
daten unmanipulierbar sein mussen. 

Vorteilhafte Weiterbildungen der Erfindung sind in den Unteranspruchen 
gekennzeichnet bzw. werden nachstehend zusammen mit der 
Beschreibung der bevorzugten Ausfuhrung der Erfindung anhand der 
Figuren naher dargestellt. Es zeigen: 

Figur 1a, Zeit/Steuerungsdiagramm fur eine Frankiermaschine bekannter 
Art mit einem Mikroprozessor, 

Figur 1b f Zeit/Steuerungsdiagramm fur eine Frankiermaschine nach der 
Erfindung mit einem Mikroprozessor im Meter fur die Druck- 
aufgaben und einem Sicherheitsmodul fur die Sicherheits- 
aufgaben, 

Figur 2, Blockschaltbild einer Frankiermaschine mit Sicherheitsmodul, 
Figur 3, Perspektivische Ansicht der Frankiermaschine von hinten, 
Figur 4, Darstellung eines Sicherheitsabdrucks, 
Figur 5, Blockschaltbild des Sicherheitsmoduls, 

Figur 6, FlufJdiagramm fur das Erzeugen von Sicherheitsabdrucken beim 
Frankieren. 

In der Figur 1a ist ein Zeit/Steuerungsdiagramm fur eine Frankier- 
maschine dargestellt, die in bekannter Art mit einem Mikroprozessor 
ausgestattet ist, der fur das Erzeugen von Sicherheitsabdrucken beim 
Frankieren folgende Schritte ausfuhrt: 

- Eingaberoutine 401 , um den Portowert einzustellen, 

- Sensorroutine 402, um die Briefanlage festzustellen, mit 



3160-DE 



- 5 - 



- Subroutine 406-411 zur DAC-Berechnung, 

- Aufforderungsroutine 403 zum Abrechnen, mit 

- Subroutine 412, 413 zum Abrechnen und mit 

- Subroutine zum DAC bereitstellen, 

5 - Berechnungsroutine 404 fur das Druckbild sowie 

- Druckroutine 405. 

Aufgrund der sequentiellen Verarbeitung der Daten bei der Durchfuhrung 
der einzelnen Routinen und Subroutinen wird eine Datenverarbeitungs- 
10 zeitdauer T a , t je Frankierung mit einem Sicherheitsabdruck benotigt. 

Das erfindungsgemafie - in der Figur 1b gezeigte - Zeit/Steuerungs- 
diagramm fur eine Frankiermaschine benotigt eine Datenverarbeitungs- 
zeitdauer T neu je Frankierung mit einem Sicherheitsabdruck, welche 

15 kurzer ist, als die alte Datenverarbeitungszeitdauer T ait je Frankierung. 
Das ist nur moglich, weil bei der Erfindung eine Aufgabenteilung fur zwei 
Datenverabeitungseinheiten stattfindet, wobei ein Mikroprozessor im 
Meter fur die Druckaufgaben und ein Sicherheitsmodul fur die Sicherheits- 
aufgaben vorgesehen ist. 

20 Die Druckaufgaben umfassen eine Eingaberoutine 401, urn den Portowert 
einzustellen, eine Sensorroutine 402, urn die Briefanlage festzustellen, 
eine Aufforderungsroutine 403 zum Abrechnen, eine Berechnungsroutine 
404 fur das Druckbild sowie eine Druckroutine 405. 

25 Die Sicherheitsaufgaben umfassen eine Subroutine 406-411 zur DAC- 
Berechnung, eine Subroutine 412, 413 zum Abrechnen und eine 
Subroutine zum DAC bereitstellen. 

Die Berechnungsroutine 404 fur das Druckbild ist besonders aufwendig 
30 fur einen Sicherheitsabdruck, deshalb wird mit dem Druckbildaufbau 
schon vor dem Ende der Abrechnung begonnen. Aufierdem fuhrt der 
Mikroprozessor im Meter die Druckroutine 405 durch, wahrend der 
Sicherheitsmodul bereits den Sicherheitscode das nachste Druckbild 
berechnet, sobald das Anlegen eines weiteren Briefes am Eingang des 
35 Transportweges von einem Briefsensor erfafct wird. 
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Das ist besonders bei Massenfrankierungen von Poststucken, insbe- 
sondere von Briefen, mit dem gleichen Portowert sinnvoll. Das Anlegen 
eines weiteren Briefes, welches am Eingang des Transportweges von 
einem Briefsensor erfaBt wird, lost einen Interrupt fur den Mikroprozessor 
5 im Meter aus, welcher die Briefanlage an das Sicherheitsmodul 
weitermeldet und dann die begonnenen Berechnungen zum Druckbild- 
aufbau fortsetzt. In dem Patent US 5,710,721 wurde unter dem Titel: 
INTERNAL POSTAGE METER MACHINE INTERFACE CIRCUIT 
prinzipiell beschrieben, wie bei einem Sensorsignal ein Interrupt fur den 

10 Mikroprozessor ausgelost wird und wie die Drucksteuerung arbeitet. 

Erfindungsgemali arbeitet der Mikroprozessor noch am Druckbildaufbau 
(schritt 404) oder ist mit der Durchfuhrung der Druckroutine (Schritt 405) 
beschaftigt, wahrend die Weitermeldung 412 einer weiteren Briefanlage 
an das Sicherheitsmodul SM erfolgt, woraufhin letzteres bereits weiterer 

is Berechnungen 316-321 fur ein nachstes Poststuck (Brief) durchfuhrt. 

Sobald der Mikroprozessor mit der Durchfuhrung der Druckroutine (Schritt 
405) fertig ist, ergeht eine Aufforderung an das Sicherheitsmodul, eine 
Abrechnung durchzufuhren. Das Sicherheitsmodul SM fuhrt nun die 
Abrechnung (Schritte 322, 323) durch und sendet (Schritt 324) den 

20 Sicherheitscode DAC an den Mikroprozessor 91 des Meters, welches nun 
in der Lage ist den Druckbildaufbau fur das weitere Druckbild zuende zu 
fuhren (Schritt 414). 



25 Die Figur 2 zeigt ein Blockschaltbild einer Frankiermaschine. Die 
Steuereinrichtung 1 weist ein mit einem Mikroprozessor 91 mit 
zugehorigen Speichern 92, 93, 94, 95 ausgestattetes Motherboard 9 auf. 

Der Programmspeicher 92 enthalt ein Betriebsprogramm mindestens zum 
30 Drucken und wenigstens sicherheitsrelevante Bestandteile des Pro- 
gramms fur eine vorbestimmte Format-Anderung eines Teils der 
Nutzdaten. 

Der Arbeitsspeicher RAM 93 dient zur fltichtigen Zwischenspeicherung 
35 von Zwischenergebnissen. Der nichtfluchtige Speicher NVM 94 dient zur 
nichtfluchtigen Zwischenspeicherung von Daten, beispielsweise von 
statistischen Daten, die nach Kostenstellen geordnet sind. Der 
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Kalender/Uhrenbaustein 95 enthalt ebenfalls adressierbare aber nicht- 
fluchtige Speicherbereiche zur nichtfluchtigen Zwischenspeicherung von 
Zwischenergebnissen oder auch bekannten Programmteilen. Es ist 
vorgesehen, daft die Steuereinrichtung 1 mit einer Chipkarten- 
5 Schreib/Leseeinheit 70 verbunden ist, wobei der Mikroprozessor 91 der 
Steuereinrichtung 1 beispielsweise dazu programmiert ist, die Nutzdaten 
N aus dem Speicherbereich einer Chipkarte 49 zu deren Anwendung in 
entsprechende Speicherbereiche der Frankiermaschine zu laden. Eine in 
einen Einsteckschlitz 72 der Chipkarten-Schreib/Leseeinheit 70 

10 eingesteckte erste Chipkarte 49 gestattet ein Nachladen eines 
Datensatzes in die Frankiermaschine fur mindestens eine Anwendung. 
Die Chipkarte 49 enthalt beispielsweise die Portogebuhren fur alle 
ublichen Postbefordererleistungen entsprechend des Tarifs der 
Postbehorde und ein Postbefordererkennzeichen, um mit der 

is Frankiermaschine ein Stempelbild zugenerieren und entsprechend des 
Tarifs der Postbehorde die Poststucke freizustempeln. 

Die Steuereinrichtung 1 bildet das eigentliche Meter mit den Mitteln 91 bis 
95 der vorgenannten Hauptplatine 9 und umfafct auch eine Tastatur 88, 

20 eine Anzeigeeinheit 89 sowie einen anwendungsspezifischen Schaltkreis 
ASIC 90 und das Interface 8 fur das postalische Sicherheitsmodul PSM 
100. Das Sicherheitsmodul PSM 100 ist uber einen Steuerbus mit dem 
vorgenannten ASIC 90 und dem Mikroprozessor 91 sowie uber den 
parallelen pC-Bus mindestens mit den Mitteln 91 bis 95 der Hauptplatine 9 

25 und der mit Anzeigeeinheit 89 verbunden. Der Steuerbus fuhrt Leitungen 
fur die Signale CE, RD und WR zwischen dem Sicherheitsmodul PSM 100 
und dem vorgenannten ASIC 90. Der Mikroprozessor 91 weist 
vorzugsweise einen Pin fur ein vom Sicherheitsmodul PSM 100 
abgegebenes Interruptsignal i ( weitere Anschlusse fur die Tastatur 88, 

30 eine serielle Schnittstelle SI-1 fur den Anschlufl der Chipkarten- 
Schreib/Lese-Einheit 70 und eine serielle Schnittstelle SI-2 fur den 
optionalen AnschlufJ eines MODEMs auf. Mittels des MODEMs kann 
beispielsweise das im nichtfluchtigen Speicher des postalischen 
Sicherheitsmittels PSM 100 gespeicherte Guthaben erhoht werden. 

35 

Das postalische Sicherheitsmittel PSM 100 wird von einem gesicherten 
Gehause umschlossen. Vor jedem Frankierabdruck wird im postalischen 
Sicherheitsmodul PSM 100 eine hardwaremaftige Abrechnung durchge- 
fuhrt Die Abrechnung erfolgt unabhangig von Kostenstellen. 
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Es ist vorgesehen, dafi der ASIC 90 eine serielle Schnittstellenschaltung 
98 zu einem im Poststrom vorschalteten Gerat, eine serielle 
Schnittstellenschaltung 96 zu den Sensoren und Aktoren der 
Druckeinrichtung 2, eine serielle Schnittstellenschaltung 97 zur 
Drucksteuerelektronik 16 fur den Druckkopf 4 und eine serielle 
Schnittstellenschaltung 99 zu einem der Druckeinrichtung 20 im Poststrom 
nachgeschalteten Gerat aufweist. Der DE 197 11 997 ist eine 
Ausfuhrungsvariante fur die Peripherieschnittstelle entnehmbar, welche 
fur mehrere Peripheriegerate (Stationen) geeignet ist. Sie tragt den Titel: 
Anordnung zur Kommunikation zwischen einer Basisstation und weiteren 
Stationen einer Postbearbeitungsmaschine und zu deren Notabschaltung. 

Die Schnittstellenschaltung 96 gekoppelt mit der in der Maschinenbasis 
befindlichen Schnittstellenschaltung 14 stellt mindestens eine Verbindung 
zu den Sensoren 6, 7, 17 und zu den Aktoren, beispielsweise zum 
Antriebsmotor 15 fur die Walze 11 und zu einer Reinigungs- und 
Dichtstation RDS 40 fur den Tintenstrahldruckkopf 4, sowie zum 
Labelgeber 50 in der Maschinenbasis her. Die prinzipielle Anordnung und 
das Zusammenspiel zwischen Tintenstrahldruckkopf 4 und der RDS 40 
sind der DE 197 26 642 C2 entnehmbar, mit dem Titel: Anordnung zur 
Positionierung eines Tintenstrahldruckkopfes uhd einer Reinigungs- und 
Dichtvorrichtung. 

Einer der in der Fuhrungsplatte 20 angeordneten Sensoren 7, 17 ist der 
Sensor 17 und dient zur Vorbereitung der Druckauslosung beim Brief- 
transport. Der Sensor 7 dient zur Briefanfangserkennung zwecks Druck- 
auslosung beim Brieftransport. Die Transporteinrichtung besteht aus 
einem Transportband 10 und zwei Walzen 11,11'. Eine der Walzen ist die 
mit einem Motor 15 ausgestattete Antriebswalze 11, eine andere ist die 
mitlaufende Spannwalze 1 1 Vorzugsweise ist die Antriebswalze 1 1 als 
Zahnwalze ausgefuhrt, entsprechend ist auch das Transportband 10 als 
Zahnriemen ausgefuhrt, was die eindeutige Kraftubertragung sichert. Ein 
Encoder 5, 6 ist mit einer der Walzen 11, 1 V gekoppelt. Vorzugsweise 
sitzt die Antriebswalze 11 mit einem Inkrementalgeber 5 fest auf einer 
Achse. Der Inkrementalgeber 5 ist beispielsweise als Schlitzscheibe 
ausgefuhrt, die mit einer Lichtschranke 6 zusammen wirkt, und gibt uber 
die Leitung 19 ein Encodersignal an das Motherboard 9 ab. 
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Es ist vorgesehen, dali die einzelnen Druckelemente des Druckkopfes 
innerhalb seines Gehauses mit einer Druckkopfelektronik verbunden sind 
und daft der Druckkopf fur einen rein elektronischen Druck ansteuerbar 
ist. Die Drucksteuerung erfolgt auf Basis der Wegsteuerung, wobei der 
gewahlte Stempelversatz berucksichtigt wird, welcher per Tastatur 88 
Oder bei Bedarf per Chipkarte eingegeben und im Speicher NVM 94 
nichtfluchtig gespeichert wird. Ein geplanter Abdruck ergibt sich somit aus 
Stempelversatz (ohne Drucken), dem Frankierdruckbild und gegebenfalls 
weiteren Druckbildern fur Werbeklischee, Versandinformationen (Wahl- 
drucke) und zusatzlichen editierbaren Mitteilungen. Der nichtfluchtige 
Speicher NVM 94 weist eine Vielzahl an Speicherbereichen auf. Darunter 
sind solche, welche die geladenen Portogebuhrentabellen nichtfluchtig 
speichern. 

Die Chipkarten-Schreib/Leseeinheit 70 besteht aus einem zugehorigen 
mechanischen Trager fur die Mikroprozessorkarte und Kontaktiereinheit 
74. Letztere gestattet eine sichere mechanische Halterung der Chipkarte 
in Lese-Position und eindeutige Signalisierung des Erreichens der 
Leseposition der Chipkarte in der Kontaktierungseinheit. Die Mikropro- 
zessorkarte mit dem Mikroprozessor 75 besitzt eine einprogrammierte 
Lesefahigkeit fur alle Arten von Speicherkarten bzw. Chipkarten. Das 
Interface zur Frankiermaschine ist eine serielle Schnittstelle gemafi 
RS232-Standard. Die Datenubertragungsrate betragt min. 1,2 K Baud. 
Das Einschalten der Stromversorgung erfolgt mittels einem an der Haupt- 
platine angeschlossenen Schalter 71. Nach Einschalten der Stromver- 
sorgung erfolgt eine Selbsttestfunktion mit Bereitschaftsmeldung. 

In der Figur 3 ist eine perspektivische Ansicht der Frankiermaschine von 
hinten dargestellt. Die Frankiermaschine besteht aus einem Meter 1 und 
einer Base 2. Letztere ist mit einer Chipkarten-Schreib/ Leseeinheit 70 
ausgestattet, die hinter der Fuhrungsplatte 20 angeordnet und von der 
Gehauseoberkante 22 zuganglich ist. Nach dem Einschalten der Frankier- 
maschine mittels dem Schalter 71 wird eine Chipkarte 49 von oben nach 
unten in den Einsteckschlitz 72 eingesteckt. Ein zugefuhrter auf der Kante 
stehender Brief 3, der mit seiner zu bedruckenden Oberflache an der 
Fuhrungsplatte anliegt, wird danp entsprechend der Eingabedaten mit 
einem Sicherheitabdruck 31 bedruckt. Die Briefzufuhroffnung wird durch 
eine Klarsichtplatte 21 und die Fuhrungsplatte 20 seitlich begrenzt. Die 
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Statusanzeige des auf die Hauptplatine 9 des Meters 1 gesteckten 
Sicherheitsmoduls 100 ist von auden durch eine Offnung 109 sichtbar. 

Die Figur 4 zeigt eine Darstellung eines Sicherheitsabdrucks, wie er von 
5 der amerikanischen USPS gefordert wird. Der Sicherheitsabdruck ist 
rechts vom Werbeklischee angeordnet und weist in der.oberen Halfte ein 
Beforderer-Logo und den Portowert und in der unteren Halfte das Datum, 
den Portowert, einen Key-Indicator und einen Datenauthentisierungscode 
DAC in einer ersten Zeile und eine Hersteller-ID, eine Maschinen-ID, eine 

10 Modell-ID und den Ascendungregisterwert in einer zweiten Zeile auf, 
wobei beide Zeilen maschinenlesbar sind. Beide maschinenlesbare Zeilen 
sind durch Markierungsbalken seitlich begrenzt, welche die Erkennung 
und Auswertung der Zeichen nach dem OCR-Verfahren verbessern. Ein 
entsprechendes Auswerteverfahren fur die vorgenannten Daten, die die 

is Zeichen wiedergeben, wurde bereits in der europaischen Anmeldung EP 
862 143 A2 zur Uberprufung eines Sicherheitsabdruckes vdrgeschlagen. 

Erfindungsgemaft wird die Berechnung des DAC fur den Sicherheits- 
abdruck im Sicherheitsmodul durchgefuhrt. Eine weitere Beschleunigung 
20 der Berechnung des Sicherheitscodes wird durch die Wahl eines eigens 
fur die DES-Berechnung gewahlten und zertifizierten Assembler- 
Algorithmus erziehlt. 

Urn auch Druckdaten, die lediglich Teile eines Datums angeben, durch 
25 eine OCR-Lesestation authentifizieren zu konnen, wird fur diese 
speziellen Datums- We rte ein Left out-Wert definiert. Dieser wird anstelle 
des Datumeintrages verwendet. Beispielsweise wird der Wert 0 
verwendet, wenn die entsprechende Datumsteile nicht vorliegen. 

30 Urn das Druckdatum auf Gultigkeit zu prufen, ist die Speicherung des 
aktuellen Datums in zwei unterschiedlichen Formaten und 
Speicherplatzen notwendig, da das Format der SM-internen Echtzeituhr 
RTC sich vom Format des im Druckbild verwendeten Datums 
unterscheidet und ein Vergleich zum Zeitpunkt der Abrechnung 

35 entsprechend Zeit benotigt. 

Der Aufbau und die Interpretation der Systemdaten, die in den 
Sicherheitscode eingehen, sowie die Systemdaten, die von der FM fur 
den Druck genutzt werden ermoglicht eine weitere Beschleunigung. 



Da bei Massenfrankierungen das Druckdatum in der Regel konstant 
bleibt, lassen sich die ersten 8 Bytes des Sicherheitscodes in einer ersten 
3DES-Runde fur jeden Tag vorabrechnen. 

In der Tafel 1 wird ein weiteres Beispiel fur die Daten aus einem 
Sicherheitsabdruck hervorgehen gezeigt. 



Tafel 1 : 



# 


Information 


Value range 


Left out Leading 
zeroes 


1. 




Lower 


Upper 






2. 


Date of mailing Month: 


JAN 


DEC 


• t 




3. 


Day: 


01 


31 


• i 


YES 


4. 


Year: 


1999 




i » 




5. 


Postage 


00000 


99999 




YES 


6. 


Key-Indicator 


0 


9 






7. 


Data 

Authentication 
Code 


00000 


65535 




YES 


8. 


Vendor ID 


FP 








9. 


Machine ID 


0000001 


9999999 




YES 


10. 


Model ID 


JMB01 


JMB99 






11. 


Ascending 
Register 


00000000 


FFFFFFFF 




YES 



Die Tafel 2 verdeutlicht Systemdaten die in den Sicherheitscode eingehen 
und gibt die Lange der benotigten Bytes an und Tafel 3 zeigt ein Beispiel.. 
Tafel 2: 





Element 


Byte-Lange 


Wertebereich (dezimal) 


1. 


Maschinen- ID 


4 


7 digit -Wertebereich fur Francotyp-Postalia 


2. 


OCR Key Indicator 


1 


0..9 


3. 


Postdatum 

Subelemente: 

Jahr 

Monat 

Tag 


Total: 3 

Detail: 

1 

1 

1 


0..99 , 
0..12, 
0..31 , 


4. 


Portowert 


4 


0..99999 (unit is 1/10 cents) 


5. 


Ascending Register 


4 


0..4294967295 (unit is 1/10 cents) 




TOTAL: 


16 





Tafel 3 : Beispiel fur den Aufbau eines Sicherheitscodes 





Serien-Nummer 


KI 


Postdatum 


Portowert 


Ascending Register 


Dezimale 
Daten 


005 


0010 




1 


Feb 17 1999 


$12,300 


$129,300 


Hex. 
Daten 


00 


00 


C3 


5A 


01 


63 


02 


11 


00 


00 


30 


OC 


00 


IF 


91 


14 
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Die Figur 5 zeigt ein Blockschaltbild des postalischen Sicherheitsmoduls 
PSM 100 in einer bevorzugten Variante. Der negative Pol der Batterie 134 
ist auf Masse und einen Pin P23 der Kontaktgruppe 102 gelegt. Der 
positive Pol der Batterie 134 ist uber die Leitung 193 mit dem einen 
Eingang des Spannungsumschalters 180 und die Systemspannung 
fuhrende Leitung 191 ist mit dem anderen Eingang des Spannungs- 
umschalters 180 verbunden. Als Batterie 134 eignet sich der Typ SL- 
389/P fur eine Lebensdauer bis zu 3,5 Jahren oder der Typ.SL-386/P fur 
eine Lebensdauer bis zu 6 Jahren bei einem maximalen Stromverbrauch 
durch das PSM 100. Als Spannungsumschalter 180 kann ein 
handelsublicher Schaltkreis vom Typ ADM 8693ARN eingesetzt werden. 
Der Ausgang des Spannungsumschalters 180 liegt uber die Leitung 136 
an der Batterieuberwachungseinheit 12 und der Detektionseinheit 13 an. 
Die Batterieuberwachungseinheit 12 und die Detektionseinheit 13 stehen 
mit den Pinsl, 2, 4 und 5 des Prozessors 120 uber die Leitungen 135, 164 
und 137, 139 in Kommunikationsverbindung. Der Ausgang des 
Spannungsumschalters 180 liegt uber die Leitung 136 auRerdem am 
Versorgungseingang eines ersten Speichers SRAM 116 an, der durch die 
vorhandene Batterie 134 zum nichtfluchtigen Speicher NVRAM einer 
ersten Technologie wird. 

Das Sicherheitsmodul steht mit der Frankiermaschine uber den 
Systembus 115, 117, 118 in Verbindung. Der Prozessor 120 kann uber 
den Systembus und ein Modem 83 in Kommunikationsverbindung mit 
einer entfernten Datenzentrale eintreten. Die Abrechnung wird vom ASIC 
150 vollzogen. Die postalischen Abrechnungsdaten werden in 
nichtfluchtigen Speichern unterschiedlicher Technologie gespeichert 
Am Versorgungseingang eines zweiten Speichers NV-RAM 114 liegt 
Systemspannung an. Hierbei handelt es sich urn einen nichtfluchtigen 
Speicher NVRAM einer zweiten Technologie, (SHADOW-RAM). Diese 
zweiten Technologie umfaftt vorzugsweise ein RAM und ein EEPROM, 
wobei letzteres die Dateninhalte bei Systemspannungsausfall automatisch 
ubernimmt. Der NVRAM 114 der zweiten Technologie ist mit den 
entsprechenden Adress- und Dateneingangen des ASIC's 150 uber einen 
intemen Adreft- und Datenbus 112, 113 verbunden. 
Der ASIC 150 enthalt mindestens eine Hardware-Abrecheneinheit fur die 
Berechnung der zu speichemden postalischen Daten. In der 
Programmable Array Logic (PAL) 160 ist eine Zugriffslogik auf den ASIC 
150 untergebracht. Der ASIC 150 wird durch die Logik PAL 160 gesteuert. 
Ein Adrefi- und Steuerbus 117, 115 von der Hauptplatine 9 ist an 
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entsprechenden Pins der Logik PAL 160 angeschlossen und die PAL 160 
erzeugt mindestens ein Steuersignal fur das ASIC 150 und ein 
Steuersignal 119 fur den Programmspeicher FLASH 128. Der Prozessor 
120 arbeitet ein Programm ab, das im FLASH 128 gespeichert ist. Der 
Prozessor 120, FLASH 28, ASIC 150 und PAL 160 sind uber einen 
modulinternen Systembus miteinander verbunden, der Leitungen 
110,1 11 ,126,1 19 fur Daten-, Adrefi- und Steuersignale enthalt. 

Die RESET-Einheit 130 ist uber die Leitung 131 mit dem Pin 3 des 
Prozessors 120 und mit einem Pin des ASIC's 150 verbunden. Der 
Prozessor 120 und das ASIC 150 werden bei Absinken der 
Versorgungsspannung durch eine Resetgenerierung in der RESET- 
Einheit 130 zuruckgesetzt. 

An den Pins 6 und 7 des Prozessors 120 sind Leitungen angeschlossen, 
welche nur bei einem an die Hauptplatine 9 gesteckten PSM 100 eine 
Leiterschleife 18 bilden. 

Der Prozessor 120 weist intern eine Verarbeitungseinheit CPU 121, eine 
Echtzeituhr RTC 122 eine RAM-Einheit 124 und eine Ein/Ausgabe-Einheit 
125 auf. An den Pins 8 und 9 liegen l/O-Ports der Ein/Ausgabe-Einheit 
125, an welchen modulinterne Signalmittel angeschlossen sind, 
beispielsweise farbige Lichtemitterdioden LED's 107, 108, welche den 
Zustand des Sicherheitsmoduls 100 signalisieren. Die Sicherheitsmodule 
konnen in ihrem Lebenszyklus verschiedene Zustande einnehmen. So 
mud z.B. detektiert werden, ob das Modul gultige kryptografische 
Schlussel enthalt. Weiterhin ist es auch wichtig zu unterscheiden, ob das 
Modul funktioniert Oder defekt ist. Die genaue Art und Anzahl der 
Modulzustande ist von den realisierten Funktionen im Modul und von der 
Implementierung abhangig. 

Der Prozessor 120 des Sicherheitsmoduls 100 ist uber einen modul- 
internen Datenbus 126 mit einem FLASH 128 und mit dem ASIC 150 
verbunden. Der FLASH 128 dient als Programmspeicher und wird mit 
Systemspannung Us+ versorgt. Er ist beispielsweise ein 128 Kbyte- 
FLASH-Speicher vom Typ AM29F010-45EC. Der ASIC 150 des 
postalischen Sicherheitsmoduls 100 liefert uber einen modulinternen 
Adrefcbus 110 die Adressen 0 bis 7 an die entsprechenden Adrefc- 
eingange des FLASH 128. Der Prozessor 120 des Sicherheitsmoduls 100 
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liefert uber einen internen Adrelibus 111 die Adressen 8 bis 15 an die 
entsprechenden Adresseingange des FLASH 128. Der ASIC 150 des 
Sicherheitsmoduls 100 steht uber die Kontaktgruppe 101 des Interfaces 8 
mit dem Datenbus 118, mit dem Adrelibus 117 und dem Steuerbus 115 
5 der Hauptplatine 9 in Kommunikationsverbindung. 

Die Echtzeituhr RTC 122 und der Speicher RAM 124 werden von einer 
Betriebsspannung uber die Leitung 138 versorgt. Diese Spannung wird 
von der Spannungsuberwachungseinheit (Battery Observer) 12 erzeugt. 

10 Letzterer liefert aulierdem ein Statussignal 164 und reagiert auf ein 
Steuersignal 135. Der Spannungsumschalter 180 gibt als Ausgangs- 
spannung auf der Leitung 136 fur die Spannungsuberwachungseinheit 12 
und Speicher 116 diejenige seiner Eingangsspannungen weiter, die 
grolier als die andere ist. Durch die Moglichkeit, die beschriebene 

15 Schaltung in Abhangigkeit von der Hohe der Spannungen Us+ und Ub+ 
automatisch mit der grofieren von beiden zu speisen, kann wahrend des 
Normalbetriebs die Batterie 134 ohne Datenverlust gewechselt werden. 

Die Batterie der Frankiermaschine speist in den Ruhezeiten aufierhalb 
20 des Normalbetriebes in vorerwahnter Weise die Echtzeituhr 122 mit 
Datums und/oder Uhrzeitregistern und/oder den statischen RAM (SRAM) 
124, der sicherheitsrelevante Daten halt. Sinkt die Spannung der Batterie 
wahrend des Batteriebetriebs unter eine bestimmte Grenze, so wird von 
der im Ausfuhrungsbeispiel beschriebenen Schaltung der Speisepunkt fur 
25 RTC und SRAM mit Masse verbunden. D.h. die Spannung an der RTC 
und am SRAM liegt dann bei 0V. Das fuhrt dazu, daft der SRAM 124, der 
z.B. wichtige kryptografische Schlussel enthalt, sehr schnell geloscht wird. 
Gleichzeitig werden auch die Register der RTC 122 geloscht und die 
aktuelle Uhrzeit und das aktuelle Datum gehen verloren. Durch diese 
30 Aktion wird verhindert, dafi ein moglicher Angreifer durch Manipulation der 
Batteriespannung die frankiermaschineninterne Uhr 122 anhalt, ohne dafi 
sicherheitsrelevante Daten verloren gehen. Somit wird verhindert, dafi er 
Sicherheitsmadnahmen, wie beispielsweise Long Time Watchdogs 
umgeht. 

35 Gleichzeitig mit der Indikation der Unterspannung der Batterie wechselt 
die bechriebene Schaltung in einen Selbsthaltezustand, in dem sie auch 
bei nachtraglicher Erhohung der Spannung bleibt. Beim nachsten 
Einschalten des Moduls kann der Prozessor den Zustand der Schaltung 
abfragen (Statussignal) und damit und/oder uber die Auswertung der 
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Inhalte des . geloschten Speichers darauf schlieften, dafi die 
Batteriespannung zwischenzeitlich einen bestimmten Wert unterschritten 
hat. Der Prozessor kann die Oberwachungsschaltung zurucksetzen, d.h. 
"scharf" machen. 

Weitere Mafinahmen zum Schutz eines Sicherheitsmoduls vor einem An- 
griff auf die in ihm gespeicherten Daten wurden auch in den nicht vorver- 
offentlichten deutschen Anmeldungen 198 16 572.2 8 mit dem Titel: An- 
ordnung fur ein Sicherheitsmodul und 198 16 571.4 mit dem Titel: Anord- 
nung fur den Zugriffsschutz fur Sicherheitsmodule, sowie 199 12 780. 8 
mit dem Titel: Anordnung fur ein Sicherheitsmodul, 199 12 781.6 mit dem 
Titel: Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur 
Durchfuhrung des Verfahrens und die deutsche Gebrauchsmusteranmel- 
dung 299 05 219.2 mit dem Titel: Sicherheitsmodul mit Statussignalisie- 
rung vorgeschlagen. Ein steckbares Sicherheitsmodul kann in seinem 
Lebenszyklus verschiedene Zustande einnehmen. Es kann nun unter- 
schieden werden, ob das Sicherheitsmodul funktioniert oder defekt ist. 
Dabei wird auf die Nichtmanipulierbarkeit der hardwaremafiigen Abrech- 
nung vertraut, ohne dies noch einmal zu kontrollieren. Jede andere soft- 
waregesteuerte Arbeitsweise gilt nur mit den Orginalprogrammen als feh- 
lerfrei, welche deshalb vor einer Manipulation geschutzt werden mussen. 

Die erste Datenverarbeitungseinheit 120 ist erfindungsgemafi durch ein im 
Programmspeicher 128 des Sicherheitsmoduls gespeichertes Programm 
programmiert, den Datenauthorisierungscode DAC vorauszuberechnen 
und an die separate Datenverarbeitungseinheit pP, 91 zu ubermitteln, die 
parallel und annahernd zeitgleich zur Operation der Vorausberechnung 
durch ein Programm in ihrem Programmspeicher 92 zu einer Druckdaten- 
aufbereitung und zur Berechnung eines Druckbildes programmiert ist. Es 
ist vorgesehen, daft die erste Datenverarbeitungseinheit 120 des Sicher- 
heitsmoduls 100 einen intemen nichtfluchtigen Speicher 124 aufweist, in 
welchem mindestens ein Schlussel fur die Berechnung des Datenauthori- 
sierungscodes (DAC) vor einem Zugriff geschutzt gespeichert ist. Im 
Sicherheitsmodul 100 ist eine zweite Datenverarbeitungseinheit 150 fur 
eine Abrechnung der Postregister vorgesehen, so dad die vom Sicher- 
heitsmodul 100 separate Datenverarbeitungseinheit im Meter eine dritte 
Datenverarbeitungseinheit pP, 91 insbesondere fur die Bearbeitung der 
Druckaufgaben bildet. 
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In der zweiten Datenverarbeitungseinheit ASIC 150 ist eine Hardware- 
abrechnungseinheit zur Durchfuhrung der Abrechnung enthalten, welche 
den neuen Postregistersatz mit den Abrechnungsdaten in den 
nichtfluchtigen Speicher 114, 116 einspeichert. 

Die erste Datenverarbeitungseinheit ist ein Modulprozessor 120 des 
Sicherheitsmoduls, welcher vorzugsweise programmiert ist, die ersten 8 
Bytes des Datenauthorisierungscode (DAC) nach einem Algorithmus in 
einer ersten Runde furjeden Tag vorauszuberechnen. Der Algorithmus fur 
den Datenauthorisierungscode (DAC) schlieftt einen DES-Algorithmus, 
insbesondere einen Tripel-DES-Algorithmus (3DES) ein. 

Der Modulprozessor 120 des Sicherheitsmoduls ist programmiert, bei 
Einzelpostverarbeitung nach Eingabe eines Portowertes den Daten- 
authorisierungscode (DAC) vorauszuberechnen bzw. bei Massenpost- 
verarbeitung nach Abrechnung des vorhergehenden Portowertes den 
nachstfolgenden Datenauthorisierungscode (DAC) vorauszuberechnen, 
wenn der Portowert nicht geandert wird und nach Vorausberechnung den 
Datenauthorisierungscode (DAC) an die dritte Datenverarbeitungseinheit 
pP, 91 sofort zu ubermitteln. 

Der interne nichtfluchtigen Speicher 124 ist ein durch eine Batterie 134 
gestutzter SRAM-Speicher des Modulprozessors 120 und ist mit 
Bereichen zur geschutzten Speicherung von mindestens einen Teil der 
Daten eines Postregistersatzes ausgebildet, welcher bei einer Voraus- 
abrechnung entsteht. In einem der Speicherbereiche ist der fur die 
Berechnung eines Datenauthorisierungscodes (DAC) erforderliche 
mindestens eine Schlussel geschutzt gespeichert. 

Der Modulprozessor 120 des Sicherheitsmoduls 100 ist programmiert, mit 
dem Portowert den steigenden Registerwert R2 (ascending register) im 
Voraus zu bestimmen und unter Einbeziehung des ermittelten Wertes den 
Datenauthorisierungscode (DAC) fur die Daten des Sicherheitsabdruckes 
vorauszuberechnen. Beispielsweise unter Einbeziehung folgender Daten 
des Sicherheitsabdruckes kann der Datenauthorisierungscode (DAC) vor- 
ausberechnet werden: Maschinen-ldentifikation, OCR-Key-lndikator, 
Datum, Postwert und Registerwertes R2 fur das steigende Register, der 
bei der Vorausabrechnung ermittelt wurde. 
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Das Verfahren zur Generierung eines Sicherheitsabdruckes besteht im 
Wesentlichen in den Schritten: 

- Vorausberechnung des aufsteigenden Registerwertes R2, 

- Vorausberechnung des Datenauthorisierungscodes, 

- Ubermittlung des Datenauthorisierungscodes an eine separate 
Datenverarbeitungseinheit [jP, 91, welche ausgebildet ist, die 
Druckdaten extern des Sicherheitsmoduls 100 aufzubereiten, daft 
Druckbild zu berechnen und auszudrucken. 

Anhand des - in der Figur 6 dargestellten - Flufidiagramms werden nun 
die Routinen naher erlautert, welche im System vor dem Frankieren 
ablaufen. Der Mikroprozessor CPU 121 ist durch ein entsprechendes im 
Flash 128 gespeichertes Programm programmiert, solche vorgenannten 
Selbsttests auszufuhren, wobei nach dem Start 299, in einem ersten 
Schritt 300 ein Power on-Selbsttest durchgefuhrt und dann im Schritt 301 
gefragt wird, ob der Power on-Selbsttest ein OK ergeben hat. Ist das der 
Fall, so wird im Schritt 302 die grune LED 107 vom Mikroprozessor CPU 
121 uber ein l/O-Port 125 leuchtend gesteuert. Anderenfalls wird im 
Schritt 303 die rote LED 108 vom Mikroprozessor CPU 121 uber ein l/O- 
Port 125 leuchtend gesteuert. 

Vom Schritt 302 wird auf die Abfrage 304 verzweigt, in welcher gepruft 
wird, ob eine weitere statische Prufung verlangt wird. Ist das der Fall, so 
wird zum Schritt 300 zuruckverzweigt. Anderenfalls wird auf die Abfrage 
305 verzweigt, in welcher gepruft wird, ob durch einen Briefsensor eine 
Briefanlage festgestellt bzw. vom Modulprozessor 120 eine Eingabe einen 
neuen Portowertes erkannt wird. Ist dies beides nicht der Fall, dann wird 
auf den Schritt 302 zuruckverzweigt und somit eine Warteschleife solange 
durchlaufen, bis eine Briefanlage/Neueingabe festgestellt worden ist. Im 
letzteren Fall wird auf den Schritt 306 verzweigt, um das Eingeben der 
Daten zu beenden. Gleichzeitig Oder kurz nach dem Zeitpunkt t 0 begin- 
nend, wird ein Schritt 307 zur MAC-Berechnung auf der Grundlage der 
zum Zeitpunkt t 0 verfugbaren Postregisterdaten P' t0 gestartet. Ein vom 
Modulprozessor 120 bereits fruher gebildeter MAC(P t0 ) ist zum Zeitpunkt 
t 0 gultig. Die MAC-Berechnung ist zum Zeitpunkt abgeschlossen. Der 
berechnete MAC(P' to ) wird mit dem alten zum Zeitpunkt Xq gultigen (vom 
Modulprozessor 120 bereits fruher gebildeten) MAC(P to ) zum Zeitpunkt ^ 
im Schritt 308 verglichen. Bei Nichtubereinstimmung wird zum Schritt 315 
verzweigt, um die LED's 107, 108 orange leuchtend zu steuern. 
Anderenfalls wird zum Schritt 309 verzweigt. Dort erfolgt zum Zeitpunkt t 2 
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im Modulprozessor 120 eine Vorausberechnung des aufsteigenden 
Registerwertes R2 t2 und eine DAC neu -Berechnung. AnschliefJend erfolgt 
im Schritt 310 eine Vorausberechnung des Postregistersatzes eine 
MAC neu -Bildung, ggf. mit Speicherung im NVRAM_P 124. Die Voraus- 
berechnung des Datenauthorisierungscodes (DAC) bezieht den auf- 
steigenden Registerwert R2 und weitere Daten ab einem Zeitpunkt t i+1 ein, 
der nach dem Dateneingabe-Ende und/oder bei Massenfrankierungen ab 
Anlage eines weiteren Poststucks und vor der eigentlichen Abrechnung 
(312) liegt. Von den weiteren Daten, die mindestens den Portowert p und 
das Datum einschliefien, kann mindestens die Maschinen-ID und ggf. das 
Datum in die DAC-Vorausberechnung ab Anlage eines weiteren 
Poststucks (Zeitpunkt t 0 ) einbezogen werden, wenn es fur den jeweiligen 
zu frankierenden Briefstapel unverandert bleibt. Bis zum Zeitpunkt t 5 ist 
die Generierung im Sicherheitsmodul abgeschlossen. 
Zum Zeitpunkt t 3 wenn im Schritt 311 die Speicherung des MAC(P t2 ) im 
NVRAM_P von der einen Datenverarbeitungseinheit 120 abgeschlossen 
worden ist, wird von der anderen Datenverarbeitungseinheit, namlich von 
der - in der Figur 5 gezeigten - Hardware-Abrecheneinheit im ASIC 150 
im Schritt 312 eine Berechnung des neuen Postregistersatzes 
durchgefuhrt. 

In einem abschlieflenden Schritt 313 erfolgt eine Abspeicherung der 
Ergebnisse P' t3 und MAC(P t2 ) im NVRAM_A. In Vorbereitung eines 
Frankierens konnen dann noch eine Anzahl von weiteren Schritten seriell 
oder parallel zu den vorgenannten Schritten durchlaufen werden, die 
mindestens einen Subschritt zum Generieren eines Sicherheitscodes DAC 
einschliefien und die mit einem Schritt 314 zur Druckdatenbereitstellung 
zum Frankieren des Briefes abschliefien. Letzterer beinhaltet mindestens 
jedoch das Senden des Sicherheitscodes DAC an den Mikroprozessor 91 
des Meters. Anschlieliend wird zum Schritt 302 zuruckverzweigt. 
Zum Generieren eines DAC-Sicherheitscodes wird zwar ebenfalls eine 
prinzipiell gleiche MAC-Bildungsprozedure genutzt, der DAC setzt sich 
aber aus dem Ascending-Registerwert R2 und aus weiteren Daten 
zusammen (Maschinen-ID, OCR-Key-lndikator, Datum, Portowert p) und 
das Generieren erfolgt zu einem anderem Zeitpunkt t i+1 zum Beispiel ab 
Dateneingabe-Ende. Bei Massenfrankierungen ist im Anschlufl der 
Ubermittlung des Datenauthorisierungscodes an die separate 
Datenverarbeitungseinheit pP 91 vorgesehen, dafi vom Modulprozessor 
120 der nachstfolgende Datenauthorisierungscode (DAC) voraus- 
berechnet wird. 
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Der Modulprozessor 120 arbeitet mit dem - in derFigur 5 gezeigten - 
Steuerungsprozessor (jP 91 des Meters zusammen, wobei letzterer 
mindestens den Sicherheitscode DAC(R2 t(j+1) , weitere Daten) empfangt, 
die Druckdaten zusammenstellt und zum Druckkopf ubermittelt. 

ErfindungsgemafJ ist das Sicherheitsmodul zum Einsatz in postalischen 
Geraten bestimmt, insbesondere zum Einsatz in einer Frankiermaschine. 
Jedoch kann das Sicherheitsmodul auch eine andere Bauform aufweisen, 
die es ermoglicht, dafi es mit einem Personalcomputer zusammenarbeiten 
kann, der als dritte Datebverarbeitungseinheit fungiert. Es kann beispiels- 
weise mit die Hauptpiatine eines Personalcomputers verbunden werden, 
der als PC-Frankierer einen handelsublichen Drucker ansteuert. 

Die Erfindung ist nicht auf die vorliegenden Ausfuhrungsform beschrankt, 
da offensichtlich weitere andere Anordnungen bzw. Ausfuhrungen der 
Erfindung entwickelt bzw. eingesetzt werden konnen, die - vom gleichen 
Grundgedanken der Erfindung ausgehend - von den anliegenden 
Schutzanspruchen umfaBt werden. 
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Zusammenfassung 

Die Erfindung betrifft eine Anordnung und Verfahren zur Generierung 
eines Sicherheitsabdruckes. Das Verfahren schliefct die Schritte 
Vorausberechnung (306-311, 316-322) des aufsteigenden Registerwert.es 
R2 und eines Datenauthorisierungscodes (DAC) sowie seine Obermittiung 
(314, 324) an eine separate Datenverarbeitungseinheit (uP) ein. Die 
Anordnung hat einen Sicherheitsmodul (SM) r der einen Programm- 
speicher (128), mindestens eine erste Datenverarbeitungseinheit (120) 
und nichtfluchtige Speicher (114, 116) einschlieftt, wobei die erste Daten- 
verarbeitungseinheit (120) mit dem nichtfluchtigen Speicher (1 14, 116) fur 
die Postregisterdaten verbindbar ist. Die erste Datenverarbeitungseinheit 
(120) ist durch ein Programm im Programmspeicher (128) programmiert, 
den Datenauthorisierungscode (DAC) vorauszuberechnen und an die 
separate Datenverarbeitungseinheit (uP) zu ubermitteln, welche durch ein 
Programm in ihrem Programmspeicher (92) zu einer Druckdatenauf- 
bereitung und zur Berechnung eines Druckbildes programmiert ist. 
Fig- 1b 
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1. Anordnung zur Generierung eines Sicherheitsabdruckes, mit einem 
Sicherheitsmodul, der einen Programmspeicher (128), mindestens eine 
erste Datenverarbeitungseinheit (120) und nichtfluchtige Speicher (114 
116) einschlieftt, wobei die erste Datenverarbeitungseinheit (120) mit dem 
n.chtfluchtigen Speicher (114, 116) fur die Postregisterdaten verbindbar 
«st. gekennzeichnet d a d u r c h, da* die erste Daten- 
verarbeitungseinheit (120) durch ein Programm im Programmspeicher 
(128) programmiert ist, einen Datenauthorisiefungscode (DAC) fur Daten 
des Sicherheitsabdruckes vorauszuberechnen bevor eine Abrechnung 
erfolgt und an eine separate Datenverarbeitungseinheit (uP, 91) zu uber- 
mitteln, wobei die separate Datenverarbeitungseinheit (uP, 91) durch ein 
Programm in ihrem Programmspeicher (92) zu einer Druckdaten- 
aufbereitung und zur Berechnung eines Druckbildes programmiert ist. 

2. Anordnung, nach Anspruch 1, gekennzeichnet dadurch 
daft die erste Datenverarbeitungseinheit (120) des Sicherheitsmoduls 
emen internen nichtfluchtigen Speicher (124) aufweist, in weichem 
m.ndestens ein Schlussel fur die Berechnung des Datenauthorisierungs- 
codes (DAC) vor einem Zugriff geschutzt gespeichert ist und daft der 
S.cherheitsmodul eine zweite Datenverarbeitungseinheit (150) fur eine 
Abrechnung der Postregister aufweist sowie daft die separate Daten- 
verarbeitungseinheit eine dritte Datenverarbeitungseinheit (uP, 91) bildet 



3. Anordnung, nach den Anspruchen 1 bis 2, gekennzeichnet 
d a d u r c h, daft die erste Datenverarbeitungseinheit ein Modulprozessor 
(120) des Sicherheitsmoduls ,(100) ist, welcher programmiert ist. die 
ersten acht Bytes des Datenauthorisierungscode (DAC) nach einem 
Algorithmus in einer ersten Runde fur jeden Tag vorauszuberechnen 
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4. Anordnung, nach den Anspruchen 1 bis 3, gekennzeichnet 
d a d u r c h, dafi der Algorithmus fur den Datenauthorisierungscode 
(DAC) einen DES-Algorithmus einschlielit. 

5. Anordnung, nach den Anspruchen 1bis4, gekennzeichnet 
d a d u r c h, dafi der Algorithmus fur den Datenauthorisierungscode 
(DAC) einen Tripel-DES-Algorithmus (3DES) einschlie&t. 

6. Anordnung, nach Anspruch 1 , gekennzeichnet da d u r c h, 
dad der Moduiprozessor (120) des Sicherheitsmoduls programmiert ist, 
bei Einzelpostverarbeitung nach Eingabe eines Portowertes den Daten- 
authorisierungscode (DAC) vorauszuberechnen. 

7. Anordnung, nach Anspruch 1, gekennzeichnet dadurch, 
dafi der Moduiprozessor (120) des Sicherheitsmoduls programmiert ist, 
bei Massenpostverarbeitung nach Abrechnung des vorhergehenden 
Portowertes den nachstfolgenden Datenauthorisierungscode (DAC) 
vorauszuberechnen, wenn der Portowert nicht geandert wird und nach 
Vorausberechnung den Datenauthorisierungscode (DAC) an die dritte 
Datenverarbeitungseinheit (pP, 91) sofort zu ubermitteln. 

8. Anordnung, nach Anspruch 2, gekennzeichnet dadurch, 
dafi der interne nichtfluchtigen Speicher (124) ein durch eine Batterie 
(134) gesttitzter SRAM-Speicher des Modulprozessors (120) ist und mit 
Bereichen zur geschutzten Speicherung von mindestens einen Teil der 
Daten eines Postregistersatzes ausgebildet ist, der bei einer 
Vorausabrechnung entsteht, dafi Jn einem der Speicherbereiche der 
mindestens eine Schlussel fur die Berechnung des Datenauthorisierungs- 
codes (DAC) geschutzt gespeichert ist. 
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13. Verfahren, nach Anspruch 12, gekennzeichnet dadurch, 
dad die Vorausberechnung des Datenauthorisierungscodes (DAC), den 
aufsteigenden Registerwert R2 und weitere Daten einbezieht und daft das 
Generieren zu einem Zeitpunkt t i+1 ab Dateneingabe-Ende und/oder bei 
Massenfrankierungen ab Anlage eines weiteren Poststucks und vor der 
eigentlichen Abrechnung erfolgt. 

14. Verfahren, nach Anspruch 13, gekennzeichnet dadurch, 
daft die weiteren Daten mindestens die Maschinen-ID, den Portowert p 
und das Datum einschlieften, wobei mindestens die Maschinen-ID und 
optional das Datum in die Vorausberechnung einbezogen wird, wenn es 
es fur den jeweiligen zu frankierenden Briefstapel unverandert bleibt. 

15. Verfahren, nach den Anspruch 12 bis 24, gekennzeichnet 
dadurch, daft bei Massenfrankierungen im Anschluft der Ubermittlung 
des Datenauthorisierungscodes an die separate Datenverarbeitungs- 
einheit (uP, 91), vom Modulprozessor (120) der nachstfolgende 
Datenauthorisierungscode (DAC) vorauszuberechnet wird. 
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